The Dutch HackInfo

Information about Hacking, Security & Tweaking

1 1 1 1 1 1 1 1 1 1 Rating 5.00 (3 Votes)

rc4 encryptionDe encryptiemethode rc4 die onder andere gebruikt wordt in wpa-tkip-versleutelingen en het tls-internetbeveiligingsprotocol, kan inmiddels in 52 uur gekraakt worden. Dat hebben onderzoekers van de Katholieke Universiteit in Leuven gedemonstreerd.

Hoewel het gebruik in de afgelopen jaren is afgenomen, wordt rc4 nog ongeveer in 30 procent van https-verbindingen gebruikt, stellen de onderzoekers Mathy Verhoef en Frank Piessens op een website die ze speciaal hebben opgezet om mensen af te raden om rc4 in te zetten. In een video tonen de Belgen hoe een aanvaller een cookie onderschept van een website die op tls-beveiliging met rc4-versleuteling draait. Daarna wordt de cookie in korte tijd ontsleuteld en is de aanvaller ingelogd op een website alsof hij daadwerkelijk de gebruikersnaam en het wachtwoord van zijn slachtoffer heeft achterhaald.

Volgens de onderzoekers is een dergelijke aanval inmiddels in de praktijk uitvoerbaar. "We verwachten dat dit soort aanvallen in de toekomst alleen maar verder ontwikkeld worden", zeggen ze. De twee Belgische onderzoekers zullen volgende maand hun bevindingen presenteren op het Usenix Security Symposium in Washington.

Microsoft waarschuwde in 2013 al dat websites en bedrijven niet langer rc4-encryptie moeten toepassen vanwege zijn kwetsbaarheid. Rc4 stamt oorspronkelijk uit 1987.

Bron: Tweakers.net

You have no rights to post comments


Copyright © 2020. All Rights Reserved.